Современные подходы к обеспечению ИБ в банковской сфере - Дмитрий Породин Ведущий инженер
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Современные подходы
к обеспечению ИБ в банковской сфере
Дмитрий Породин
Ведущий инженер
Основные проблемы ИБ в банковской
сфере
• Развитие и совершенствование технологий и методов
современных атак
• Сложность и комплексность требований законодательства,
нормативных документов регуляторов, требований
международных платежных систем
• Утечки банковской тайны и ПДн, защита от «инсайдеров»
• Сложность автоматизированной банковской системы,
проблемы управления доступом к данным
• Взаимодействие с сетью общего пользования Интернет
• Необходимость создания нормативной базы по ИБ
Тенденции развития информационных
угроз
• Изменение операционной среды — развитие социальных
сетей, видеохостингов, облачных сервисов.
• Формирование хорошо организованной
квалифицированной среды хакеров — «экосистема
киберпреступности».
• Использование взломанных сайтов для распространения
вредоносного кода.
• Перенос акцентов атаки на приложения и пользователей.
• Атаки на сети соперников на рынке — как часть
конкурентной борьбы.
Существующие угрозы • Прямые финансовые потери — взлом внешними злоумышленниками систем дистанционного банковского обслуживания, кража денежных средств у клиентов Банка. • Репутационные риски — нарушение функционирования или взлом публичных банковских сервисов (веб-сайт Банка, система электронной почты). • Утечка конфиденциальной информации (банковская тайна, персональные данные) — использование уязвимостей веб-браузеров и заражение вредоносным кодом рабочих станций сотрудников Банка.
Нормативные документы по ИБ в
банковской сфере
• Федеральный закон «О национальной платежной системе» 161-ФЗ,
Положение Банка России №382-П, Указание Банка России №3361-У
• Федеральный закон «О персональных данных» 152-ФЗ, Постановление
Правительства РФ №1119, приказ ФСТЭК №21, приказ ФСБ №378
• Комплекс стандартов Банка России СТО БР ИБСС
• Положение Банка России о внутреннем контроле №242-П
• Положение Банка России №379-П «О бесперебойности
функционирования платежных систем и анализе рисков в платежных
системах»
• Письмо Банка России №47-Т «О Методических рекомендациях по
проведению проверки и оценки организации внутреннего контроля в
кредитных организациях»
• Письмо Банка России №49-Т «О рекомендациях по организации
применения средств защиты от вредоносного кода при осуществлении
банковской деятельности»
• PCI DSS
Финансовые потери при утечках
информации
• В 2011 году компании потратили на ликвидацию
последствий утечек более 500 млн. долл. Публично
обнародована информация о потерях компаний в размере
14,8 млн. долл.
• Прямые убытки кредитно-финансовых организаций от
утечек в первом полугодии 2012 года составили чуть более
2 млрд долл. Скомпрометировано более 2 млн записей, в
том числе финансовые и персональные данные.
• В 2013 году в мире зафиксировано, обнародовано в СМИ и
зарегистрировано случаев утечек на 22% больше, чем за
прошлый год
Сложность внутренней нормативной
базы по ИБ
• Политика ИБ
• Частные политики в области ИБ:
– Управление доступом к ИС
– Взаимодействие с сетью общего пользования Интернет
– Управление инцидентами ИБ
– Защита от вредоносного кода
– Использование съемных носителей
– и т.д.
• План ОНиВД
• Регламенты (порядки)
• Инструкции
Общая структура процессов
управления СОИБ
Группа процессов поддержки Группа процессов мониторинга и контроля
принятия решений состояния ИБ
Организация работ по реализации и Мониторинг и анализ событий ИБ
выполнению планов внедрения развития
Приятие решений по вопросам эксплуатации Контроль действий пользователей
Организация работ по совершенствованию
Контроль защищенности ИР
СОИБ
Организация работ по обучению и повышению
Обнаружение и предотвращение вторжений
квалификации
Группа процессов контроля организации
Группа процессов анализа состояния ИБ
эксплуатации
Идентификация, классификация и учет активов
и ресурсов Контроль управления доступом к ИР
Обнаружение, реагирование и расследование
инцидентов Контроль управления конфигурациями
Проведение проверок состояния ИБ Контроль управления обновлениями
Общая структура процессов реализации
защитных мер СОИБ
Группа процессов Группа процессов управления
реализации защитных мер учетными записями и правами
инфраструктурного уровня пользователей и персонала
Сегментация и межсетевое
экранирование Управление учетными
записями и правами
пользователей
Защита сетевого трафика
Управление доступом к
Защита от НСД АРМ, оборудованию
СУБД и серверов инфраструктуры
Защита от воздействий
вредоносного кода
Группа процессов применения
Обеспечение целостности защитных мер
вычислительной среды
информационных систем
Защиты среды
виртуализации
Контентный контроль
Криптографическая защитаОбщая архитектура СОИБ
Компоненты СОИБ ИТ-компоненты
Подсистема управления Компоненты
Подсистема анализа состояния и поддержки принятия решений
инцидентами систем управления
Средства системных
Подсистема контроля компонент (ЕСК, почтовая
Подсистема контроля Подсистема обнаружения действий пользователей и Подсистема сбора и служба)
защищенности вторжений и сетевых атак эксплуатирующего анализа событий ИБ
персонала
Центр управления и мониторинга ИБ Компоненты среды
виртуализации
Компоненты систем
резервированного
Подсистема управления учетными записями и правами пользователей копирования и хранения
данных
Компоненты прикладных
функциональных и офисных
Подсистема сегментации Подсистема защиты от Подсистема автоматизированных систем
Подсистема защиты
и межсетевого НСД АРМ, серверов и криптографической
среды виртуализации
экранирования СУБД защиты
Компоненты
телекоммуникационных
систем связи и передачи
Подсистема защиты Подсистема данных
Подсистема защиты Подсистема
от воздействий обеспечения целостности
сетевого трафика контентного контроля
вредоносного кода вычислительной среды
Компоненты
Инфраструктурные подсистемы защиты вспомогательных подсистем
Инфраструктурные
Комплекс средств и мер защиты информационных систем компоненты
информационных системПодсистема управления учетными
записями и правами пользователей
Новый Кадры Начальник Служебные
сотрудник записки
Согласование Администраторы, Учетные
Техподдержка записи
С момента приема на работу нового сотрудника и до момента
выделения ему всех необходимых информационных ресурсов
может пройти от нескольких дней до нескольких месяцев!Подсистема управления учетными
записями и правами пользователей
IDM
Новый Кадры Коннектор к Центральный Процессы Коннекторы к
сотрудник кадровой репозиторий IDM системам
системе
Учетные
записи
Новый сотрудник обеспечивается всеми необходимыми информационными
ресурсами в день приема на работу.Подсистема контроля действий пользователей и
эксплуатирующего персонала
Сколько привилегированных записей в вашей
системе?
35%
30%
25%
20%
15%
10%
5%
0%
1-250 251-500 501-1,000 1,001-5,000 5,001+ Не знаю
Результаты исследования Cyber-Privileged Account Security & Compliance Survey, Май 2013 (проводилось среди
компаний корпоративного сектора, с количеством сотрудников более 5000)Подсистема контроля действий пользователей
и эксплуатирующего персонала
• Большое количество пользователей знает привилегированные учетные данные
критичных ресурсов
• Отсутствие механизмов управления сессиями привилегированных пользователей
• Простые пароли привилегированных пользователей, редко изменяютсяПодсистема контроля действий пользователей
и эксплуатирующего персонала
Автоматическая смена
паролей, обнаружение
привилегированных
Администраторы ИБ, учетных записей
аудиторы Согласование запросов
на получение реквизитов Хранение записей
доступа, просмотр аудита, паролей
пароли
событий аудита пользователей
Сервер
управления Защищенное
хранилище
события
аудита
Создание запросов на
получение реквизитов
доступа/подключение
Пользователи к серверам
системы
Сервер БД Сервер приложений Linux/Unix Servers Windows Servers/DesktopsПодсистема защиты от НСД АРМ, систем
управления базами данных и серверов
Документ
Формирование Выборка данных по
Ввод данных запроса текущему клиенту
Обработка данныхПодсистема защиты от НСД АРМ, систем
управления базами данных и серверов
Формирование
Выборка всех данных Использование
зловредного
по всем клиентам данных
запросаПодсистема защиты от НСД АРМ, систем
управления базами данных и серверов
Пользователь
БД • Сбор данных аудита и
формирование отчетов
• Отправка событий в
SIEM-систему
Отчеты
!
Журналы аудита
SIEMПодсистема контентного контроля –
управление печатью
• Сложно оценить расходы на печать без
специализированных инструментов
• Средние расходы организации на печать
составляют 3% от выручки (данные Gartner)
• Оптимизация расходов на печать позволяет
уменьшить затраты организации на печать
до 30% (данные Gartner)
• Печатные документы – основной канал
утечки персональных данных в 2013 году в
России (Аналитический Центр компании
InfoWatch)Подсистема контентного контроля –
управление печатью
В нужный момент пользователь Считыватель карт
Карта
подходит к принтеру и авторизуется с пользователя
помощью своей карты доступа
Пользователь отправляет
задание на виртуальный
принтер точно также как и Сетевой принтер с
при обычной печати контроллером Подсистемы
После авторизации пользователя
все его задания отправляются на
этот принтер для немедленной
Принт-сервер печати.
Подсистемы
Администратор системы – управление
серверами печати, пользователями, Информация о пользователях,
синхронизацией с AD, добавлением способах авторизации, заданиях,
новых принтеров правах доступа
СУБДПодсистема анализа состояния ИБ и
поддержки принятия решений
• Безопасность ИС банка должна
обеспечиваться в рамках комплексной
СОИБ, включающей в свой состав набор
технических средств защиты и
организационных мер, объединенных
на основе выбранной модели
управления
• В рамках комплексной СОИБ,
адекватно компенсирующей
актуальные риски ИБ, должны быть
внедрены более 30 процессов ИБ
(организационных мер), эффективная
реализация которых невозможна без
использования средств автоматизацииПодсистема анализа состояния ИБ и
поддержки принятия решений
• Активы — автоматизация процессов учета, классификации и
назначения владельцев защищаемых ИТ-активов
• Риски — автоматизация процессов менеджмента угрозами,
уязвимостями и рисками ИБ
• Задачи — автоматизация процессов постановки и контроля
за исполнением задач, связанных с обеспечением ИБ
• Ресурсы — автоматизация процессов менеджмента
ресурсов системы ИБ, контроля их доступности и
целесообразности их использования при решении задач по
ИБПодсистема анализа состояния ИБ и поддержки принятия решений • Документы — автоматизация процессов создания, сбора, хранения, утверждения внешних и внутренних документов по ИБ, а также обеспечения справочной поддержки ИБ • Аудит — автоматизация проведения и составления отчетности по результатам аудита СОИБ и анализа текущего состояния СОИБ • Персонал — автоматизация проведения и составления отчетности по результатам аудита СОИБ и анализа текущего состояния СОИБ • Жизненный цикл АБС — автоматизация процессов приобретения и разработки ИС и ИТ-сервисов, а также обеспечения ИБ при их создании и эксплуатации
Подсистема контроля защищенности –
контроль исходного кода
• 75% нарушений связаны с недостатками в безопасности
ПО (Gartner)
• 92% уязвимостей обнаруживаются в ПО (NIST)
• 86% успешных нарушений осуществляется на
прикладном уровне (RSA)
• 99% веб-приложений имеют уязвимости (Cenzic)
Приложения и данные
Серверы
Сеть ПДн
Стратегические
планы
Банковская тайнаПодсистема контроля защищенности –
контроль исходного кода
Разработчики ПО Repeat Служба ИБ
2. Audit Monitor
Bug Tracker
Руководитель Руководитель
Репозиторий исходных кодов
по ИБ службы ИБ
3. Assign 5. Validate for Release
Сервер сборки
Ср-во сборки Анализатор ПО
Руководитель Специалист по
проекта 1. Identify тестированию
Репозиторий ПО в части ИБ
4. Fix
Сервер подсистемы
ПрограммистВаши вопросы? Дмитрий Породин
Вы также можете почитать
